springboot自定义注解+拦截器完成Token+签名校验

最新推荐文章于 2024-08-06 11:03:11 发布
最新推荐文章于 2024-08-06 11:03:11 发布
阅读量3.3k 收藏 17
点赞数
分类专栏: java基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39724194/article/details/102903673
版权
一:为什么需要使用校验

请求校验可以保证数据通信时的安全性:

  • 防止参数被篡改
  • 判断登录用户是否合法(虽然你是你,但是你还需要门票(token)才能进入)
  • 请求的唯一性(防止恶意重复提交–爬虫、网络攻击等)
二:工作流程
  • 不加校验:
    获取一个列表:http://api.XXX.com/getproductList?id=value1
    这种方式,只需要一个url调用者就可以获取到数据列表,导致数据泄露,也会造成数据库压力激增。
  • 加入校验:
    1. token校验:用户在登录时,通过一定逻辑生成一份token返回给客户端保存,同时在服务器端保存一份,每次用户调用接口时,会携带这个token与服务器存放的token进行校验,如果一致则校验通过。(和uuid的区别:uuid相当于身份证,token相当于门票,token是会不断改变的。就算别人拿到了你的uuid也没用)
    2. 签名校验:请求api时,会将发送的请求url的参数按ASCII字段排序,然后对这个字符串进行按照一定规则进行加密,放入到参数中一起传给服务器,服务器根据请求参数按照相同规则进行加密,如果加密后的数据和传参一致,校验通过。(可以通过加入时间戳,来控制时间)
    3. 例:微信支付接口
      在这里插入图片描述
      在这里插入图片描述
三:代码示例
  1. 自定义注解:
@Inherited
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PublicUrl {

    /**
     * 是否校验token合法性
     *
     * @return
     */
    boolean tokenValidate() default false;

    /**
     * 是否校验签名合法性
     *
     * @return
     */
    boolean signValidate() default false;
}
  1. 自定义拦截器,实现WebMvcConfigurer接口
    此处在我的2个项目中出现了不同的情况,一个@Configuration注解完全不起作用,需要加上@EnableWebMvc注解才生效,一个只需要@Configuration就ok了,原因解释见:@EnableWebMvc注解
@EnableWebMvc
@Configuration
public class MyAppConfigurer implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getHandlerInterceptor());
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("Content-Type", "x-requested-with", "X-Custom-Header")
                .allowedMethods("PUT", "POST", "GET", "DELETE", "OPTIONS")
                .allowedOrigins("*")
                .allowCredentials(true);
    }

    @Bean
    public HandlerInterceptor getHandlerInterceptor() {
        return new SafeHandlerInterceptor();
    }
}
  1. 签名及token校验的具体实现
public class SafeHandlerInterceptor implements HandlerInterceptor {
    @Autowired
    private MyProperties properties;
    @Autowired
    private UserDao userDao;
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {     
        if (properties.getTokenDisable()) {
            return true;
        }
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            if (handlerMethod.getBean() instanceof BasicErrorController) {//exclude frame BasicErrorController
                return true;
            }
            ValidateResponse validateResponse = new ValidateResponse(true, null);
            //validate controller method annotation to judge token or params whether or not validate
            PublicUrl publicUrl = handlerMethod.getMethodAnnotation(PublicUrl.class);
            if (null != publicUrl) {
                if (publicUrl.signValidate() == true) {
                    validateResponse = paramSignValidate(request, response);
                }
                if (validateResponse.isValidate() && publicUrl.tokenValidate() == true) {
                    validateResponse = tokenValidate(request, response);
                }
            } else {
                //validate controller class annotation to judge token or params whether or not validate
                publicUrl = handlerMethod.getBean().getClass().getAnnotation(PublicUrl.class);
                if (null != publicUrl) {
                    if (publicUrl.signValidate() == true) {
                        validateResponse = paramSignValidate(request, response);
                    }
                    if (validateResponse.isValidate() && publicUrl.tokenValidate() == true) {
                        validateResponse = tokenValidate(request, response);
                    }
                } else {
                    validateResponse = validate(request, response);
                }
            }
            if (!validateResponse.isValidate()) {
                throw validateResponse.getException();
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {    }

    /**
     * 全局校验
     *
     * @param request
     * @param response
     * @return
     */
    private ValidateResponse validate(HttpServletRequest request, HttpServletResponse response) {
        ValidateResponse validateResponse = paramSignValidate(request, response);
        if (validateResponse.isValidate()) {
            validateResponse = tokenValidate(request, response);
        }
        return validateResponse;
    }

    /**
     * 签名校验
     *
     * @param request
     * @param response
     * @return
     */
    private ValidateResponse paramSignValidate(HttpServletRequest request, HttpServletResponse response) {
        String sign = request.getParameter("sign");
        Map<String, String[]> map = request.getParameterMap();
        // 将参数按照一定规则获取到sign和前端传过来的sign进行比较,规则自定义需要和前端一致
        String sign1 = SignUtil.signMap(request.getServletPath(), map);
        if (ObjectUtil.isEmpty(sign) || !sign.equals(sign1)) {
            return new ValidateResponse(false, new ApiException(ResultEnums.ILLEGAL_REQUEST));
        }
        return new ValidateResponse(true, null);
    }

    /**
     * token校验
     *
     * @param request
     * @param response
     * @return
     */
    private ValidateResponse tokenValidate(HttpServletRequest request, HttpServletResponse response) {
        String token = request.getParameter(“token”);
        if (ObjectUtil.isEmpty(token)) {
            return new ValidateResponse(false, new ApiException(ResultEnums.MISS_TOKEN));
        }
        String userUuid = request.getParameter(USER_UUID);
        // 此处将token保存在了db,也可以放在redis
        User user = userDao.selectByUuid(userUuid);
        if (ObjectUtil.isEmpty(user)) {
            return new ValidateResponse(false, new ApiException(ResultEnums.ILLEGAL_USER));
        }
        // 将前台传来的token和服务器的进行比较,前端的token可以是用户登录时由一定规则生成的一个密钥,随返回值一起传给前端存储
        if (!token.equals(user.getToken())) {
            return new ValidateResponse(false, new ApiException(ResultEnums.ERROR_TOKEN));
        }
        return new ValidateResponse(true, null);
    }

    /**
     * 校验返回对象
     */
    private static class ValidateResponse {
        private boolean validate;
        private YkApiException exception;

        public ValidateResponse(boolean validate, YkApiException exception) {
            this.validate = validate;
            this.exception = exception;
        }

        public boolean isValidate() {
            return validate;
        }

        public Exception getException() {
            return exception;
        }
    }
}
  1. 将传参进行md5加密
public class SignUtil {
    private static final String hexDigits[] = {"0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "a", "b", "c", "d", "e", "f"};

    private final static String randomBaseStr = "abcdefghijklmnopqrstuvwxyz0123456789";
    private static String SIGN_KEY = "123456"; // 自定义
    private static String CHARSET_NAME = "UTF-8";
    private static final String sign = "sign";

    public static String signMap(String path, Map<String, String[]> map) {
        StringBuilder param = new StringBuilder(path);
        Iterator<Map.Entry<String, String[]>> entries = map.entrySet().iterator();
        Map<String, String[]> params = new TreeMap<>();
        while (entries.hasNext()) {
            Map.Entry<String, String[]> entry = entries.next();
            String key = entry.getKey();
            String[] values = entry.getValue();
            if (values == null) {
                entries.remove();
            }
            if (sign.equals(key)) {
                continue;
            }
            params.put(key, values);
        }

        Iterator<Map.Entry<String, String[]>> entries2 = params.entrySet().iterator();
        while (entries2.hasNext()) {
            Map.Entry<String, String[]> entry = entries2.next();
            String key = entry.getKey();
            String[] values = entry.getValue();
            if (values.length == 1) {
                param.append("&").append(key).append("=").append(values[0]);
            } else {
                param.append("&").append(key).append("=").append(JsonUtil.toJson(values));
            }

        }
        System.out.println(param);
        return MD5Encode(param.toString() + SIGN_KEY, CHARSET_NAME);
    }

    private static String byteArrayToHexString(byte b[]) {
        StringBuffer resultSb = new StringBuffer();
        for (int i = 0; i < b.length; i++)
            resultSb.append(byteToHexString(b[i]));

        return resultSb.toString();
    }

    private static String byteToHexString(byte b) {
        int n = b;
        if (n < 0)
            n += 256;
        int d1 = n / 16;
        int d2 = n % 16;
        return hexDigits[d1] + hexDigits[d2];
    }

    public static String MD5Encode(String origin, String charsetname) {
        String resultString = null;
        try {
            resultString = new String(origin);
            MessageDigest md = MessageDigest.getInstance("MD5");
            if (charsetname == null || "".equals(charsetname))
                resultString = byteArrayToHexString(md.digest(resultString.getBytes()));
            else
                resultString = byteArrayToHexString(md.digest(resultString.getBytes(charsetname)));
        } catch (Exception exception) {
        }
        return resultString;
    }
 }
  1. controller层
@PostMapping(value = "/testToken")
@PublicUrl(tokenValidate = true)
public Result<Boolean> testToken(String token) {
    return ResultUtil.success(。。。);
}

最后的最后,博主也是个java新手,记录下工作中的好东西,有什么不对或者还可以提高的地方,欢迎大家留言指正!!!

leo_messi94
关注
专栏目录
Spring Boot入门教程(四十三): API接口设计之token、timestamp、sign
人不风流枉少年
06-24 1万+
一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。 Token的值一般是UUID,服务端生成Token后需要将t...
SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT 并实现了 Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
Spring Boot 拦截器 请求参数MD5签名校验
Tomorrow never comes
12-15 1万+
拦截器定义 /** * 拦截器 请求参数签名校验 * Created by jiyang on 14:47 2017/12/14 */ @Component @Slf4j public class ParameterInterceptor implements HandlerInterceptor { public static final String VERIFY_FAIL_M
Spring Boot实战:拦截器
最新发布
LHY537200的博客
08-06 2233
什么是拦截器拦截器SpringBoot中主要有以下几个作用: 1.2拦截器的基本使用1.⾃定义拦截器:实现HandlerInterceptor接⼝,并重写其所有⽅法 2.注册配置拦截器:实现WebMvcConfigurer接⼝,并重写addInterceptors⽅法 3.启动服务, 试试访问任意请求, 观察后端⽇志 可以看到preHandle ⽅法执⾏之后就放⾏了, 开始执⾏⽬标⽅法, ⽬标⽅法执⾏完成之后执⾏ postHandle和afterCompletion⽅法.
springboot使用拦截器拦截验证签名sign
wuxiao3816的博客
04-25 2753
1生成签名 2使用拦截器验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截器 2.5配置拦截器 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
spring boot 拦截器接口校验RSA签名
taopenglove的博客
04-14 879
一,编写拦截器文件 package com.tax.config.auth; import com.alibaba.fastjson.JSON; import com.tax.util.sign.SignUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Component; import org.springframework.util.Stream
SpringBoot拦截器的运用(验证某些请求的时间戳和RSA签名
T_james的博客
03-18 4364
SpringBoot中实现拦截器,需要继承WebMvcConfigurerAdapter类,这个类中实现了webMvcConfig接口的抽象类,其次我们可以实现该类中相应的抽象方法。 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInter...
SpringBoot】46、SpringBoot中整合JWT实现Token验证拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
SpringBoot采用拦截器进行redis缓存命中(自定义注解+拦截器+向redis中加数据)
djdjjdjdj的博客
07-30 901
实现思路: 通过拦截器实现对请求的拦截,在拦截器中实现缓存的命中。 通过ResponseBodyAdvice进行对响应的拦截,可以将数据缓存到Redis中。 考虑到,不能对于所有的请求都一刀切,所以需要创建@Cache注解进行标记,只有标记的Controller才进行缓存处理。 缓存的处理中,仅针对GET请求处理,其他的请求均不做处理。 第一步: 自定义注解 package com.tanhua.server.utils; import java.lang.annotation.*; @Target
springboot拦截器 跳过_SpringBoot中自定义拦截器详解 (Token校验与放行)
weixin_34270007的博客
01-13 2686
首先是拦截类AuthInterceptor.java中的具体逻辑,主要是有继承BaseInterceptor.java 类,而这个BaseInterceptor.java类继承了HandlerInterceptorAdapter类,然后拦截类AuthInterceptor.java实现了其中的preHandle方法以下是全部代码拦截器主要逻辑类——AuthInterceptor.javapacka...
自定义注解+拦截器+redis缓存, 轻松实现项目中对某一接口的精确权限判断
h321880947的博客
04-15 335
此文描述 : 通常,业务的某些接口需要做权限的校验,比如: 登录限制(此功能需要登录才可以查看); 登录之后对付费用户和免费用户的区分限制(此功能需要vip才可以查看); 精确到普通会员和付费会员的不一样的访问次数限制(此功能访问次数超过了限制); 精确到按照时间规定访问次数(此功能今天或一周内访问次数超过了限制);并且在超出了对应值之后报警 使用到的技术栈背景:springboot 2.3.4.RELEASE、阿里云Redis 5.0、 jdk 1.8 使用到的相关:自定义注解拦截器、反射 正文
SpringBoot配置拦截器并实现权限验证
Calvin的博客
05-29 7635
本文中的代码详见:https://github.com/hawkingfoo/springboot-interceptor 一、概述 拦截器的使用场景越来越多,尤其是面向切片编程流行之后。那通常拦截器可以做什么呢? 之前我们在Agent介绍中,提到过统计函数的调用耗时。这个思路其实和AOP的环绕增强如出一辙。 使用场景如下: 函数增强:比如对一个函数进行参数检查,或者结果过滤等。甚至可以...
Spring Boot添加签名拦截器
Ice_Dream123的博客
11-30 210
4、注册拦截器,声明要拦截的url。
Spring Boot实现接口签名验证
涛哥是个大帅比
04-23 3591
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
springboot+token实现登录拦截完整
xyouzi的博客
11-01 2187
最近写的项目中又写了一遍前后分离的微信授权登录功能(本人后端),顺便梳理下,不想看可直接看后面的干货 通过登录拦截强制未登录用户进入授权界面,无法直接访问其他页面 用户进入授权界面完成授权会返回code,后端根据code进行一系列操作后将用户注册保存至数据库(后端会进行一些处理比如判断主动授权、静默授权,是否更新过信息) 同时会生成token,后端将token保存在redis中,前端保存在storage中 前端在访问除登录请求或业务需要的请求外,前端都需要将token携带在请求头中,后端接收到token
spring boot 实现token拦截
qq_37061571的博客
12-21 1482
package com.example.config.request.handler; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.Target; import java.lang.annotation.RetentionPolicy; //Authorization.java,授权注解,作用于controller类及其方法上,方法.
综合性的拦截器 1.过滤敏感字符 2.解析验签注解 3.解析token注解
北京Java青年
06-13 690
1.拦截器 package com.sys.interceptor; import java.io.BufferedReader; import java.io.IOException; import java.io.UnsupportedEncodingException; import java.lang.reflect.Method; import java.util.ArrayList;...
使用拦截器验证token是否有效
haponchang的博客
03-30 4173
最近项目中需要做每一个接口均加token参数,web端进行验证。 我实用的是拦截器。 1、整体思路是定义好需要拦截的路径,并将使用的接口添加@ApiToken 2、符合路径并且添加了注解的接口发送请求时会进入拦截器拦截器负责比对传入的token是否正确(暂未加密处理); 3、正确则继续,否则直接返回JSON。 1.Configuration import cn.ac.bcc.ebap...
springboot 拦截器校验签名后controller就获取不到数据
lockie的博客
06-14 3515
SpringBoot项目,有个需求就是要加一个拦截器和过滤器,在拦截器中我需要获取到前端传过来的json数据进行签名校验,按照常理来说,获取请求body中的参数就可以,方法写好后,在拦截器中也读取到了body请求参数。但是出现一个问题,就是后面的controller中使用了@RequestBody注解获取参数,但是拦截器执行过后,controller获取不到参数,甚至是方法都没有进入对应的方法中就...
Spring Boot与Redis实现接口幂等性:注解+拦截器
"本文介绍了如何利用Spring Boot、Redis、注解和拦截器来实现接口幂等性校验,主要关注幂等性概念、常见解决方案以及具体的实现思路。文章提供了一个简单的项目背景,包括所使用的技术栈,并给出了部分代码实现。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值